分析威胁数据的时候把相关性考虑进去吧!
又到了高中生及其家长们焦躁不安的时节了。高考一过,各种招生函件纷纷涌来,做出决定是如此之难。众所周知,各种证书是很多职业的敲门砖,但哪所学校最适合自家孩子?自家孩子能从大学经历中尽可能得到最宝贵的经验吗?
每个学生的大学经历和收获都各不相同。有人就是在感觉舒服的环境里学习并成长,有的是求得学位以便在想从事的领域工作,还有为了进入某种职业领域而进入大学,又或者,是各种因素的综合体。
与之类似,我们都知道威胁情报中蕴含着巨大的价值,能否抽取这一价值,能抽出多少价值,则同样是由多种因素决定的。
SANS最近发布了《2018网络威胁情报调查》报告,发现81%的网络安全人员确认威胁情报正帮助他们更好地完成工作。数百万以威胁为中心的数据点,公司订阅的全球多个威胁数据源,还有来自企业多层防御和SIEM的内部威胁及事件数据,都提供了大量的威胁情报。但是,我们真的尽可能地捕捉到了威胁情报中蕴含的价值,真正强化了我们的防御,加快了检测与响应吗?
人们越来越认识到,不是所有的威胁情报都是同样重要的。对企业A至关重要的威胁情报,可能对企业B毫无意义。那么,怎样从威胁情报中捕获真正重要的价值呢?落脚点在相关性上。情报价值由你所处行业/地区、你的环境和你拥有的技术/能力决定。
1. 行业/地区
特定于公司所处行业及地区的威胁数据,就比包含其他领域威胁的通用数据更相关,更重要得多。来自国家/政府计算机应急响应小组(CERT)和信息共享与分析中心的按行业归类的外部威胁馈送,就非常有用。以这些威胁数据馈送源补充公司中央数据存储库,有助于降低噪音,让公司安全团队更专注在本地本行业中发生的威胁上。
2. 环境
根据公司环境或基础设施的不同,某些威胁指标要比其他指标更相关一些。比如说,如果公司员工分布较广且终端防护是关键,那你就得关注文件散列值,因为这能使你检测出设备上的恶意文件。而在网络上,域名和IP就是更重要的指标,可以用来追踪可疑流量。为从威胁情报中抽取出最重要的东西,我们需要能在中央存储库中聚合指标并加以上下文丰富的工具,以便筛选排序出那些对公司而言真正重要的东西。
3. 技术/能力
公司的网络安全人才储备也是很重要的一方面。人手充裕的大公司就有资源以2到3个分隔度(比如下游IP地址、域名注册商等等)来追踪威胁数据。而没有这么充裕的资源的公司,就必须更加精挑细选,只调查针对本行业的活跃威胁数据或与已知对手相关的那些威胁数据。这种情况下,自动化和托管安全服务提供商(MSSP)可以作为现有员工和技术集的补充。
自动化可以将数百万以威胁为中心的数据点聚合进中央存储库,并将之转译成统一的格式;还能通过关联外部和内部威胁数据来添加上下文。应用自动化还可以来帮助过滤掉一些噪音。比如说,基于预设的参数自动排序数据。MSSP提供的选择很多,从充当你的整个安全团队,到管理你威胁情报项目的特定功能,再到提供类似威胁追捕或事件响应之类高价值定制化服务都可以。
每个家长都希望自家孩子从教育中收获良多,而教育结果的影响因素是很多的。同样地,很多因素决定着公司企业可以从威胁情报中获得什么样的价值。在创建公司威胁情报项目的时候,一定记得将相关性纳入考虑,分析威胁数据时考虑了相关性,你就会很好地捕捉到威胁情报的全部价值。